标准访问控制列表配置
标准IP访问控制列表的配置及应用
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
实验十一:标准访问控制列表配置
《网络互联技术》课程实验指导书实验十一:标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。
标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。
一、网络拓朴二、实验内容1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。
其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A)●HostA和HostB之间可以通信,但无法访问HostC、HostD。
●HostC和HostD之间可以通信,但无法访问HostA、HostB。
2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。
由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。
三、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置四、实验设备1、一台台思科(Cisco)3620路由器2、两台思科(Cisco)2950二层交换机3、思科(Cisco)专用控制端口连接电缆4、四台安装有windows 98/xp/2000操作系统的主机5、一台提供WWW服务的WEB服务器6、若干直通网线与交叉网线五、实验过程(需要将相关命令写入实验报告)1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1六、思考问题1、请简述标准访问控制列表与扩展访问控制列表有何区别?2、请简述设置标准访问控制列表的操作过程。
原程序(标准IP访问控制列表配置)
ROUTER0配置:Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int f0/1Router(config-if)#ip address 192.168.20.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s0/0/0Router(config-if)#ip address 192.168.30.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#clock rate 64000Router(config-if)#exitRouter(config)#router ripRouter(config-router)#version 2Router(config-router)#network 192.168.10.0Router(config-router)#network 192.168.20.0Router(config-router)#network 192.168.30.0Router(config-router)#no auto-summaryRouter(config-router)#ROUTER1配置:Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip address 192.168.40.1 255.255.255.0 Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#int s0/0/0Router(config-if)#ip address 192.168.30.2 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#route ripRouter(config-router)#version 2Router(config-router)#network 192.168.30.0Router(config-router)#network 192.168.40.0Router(config-router)#no auto-summaryRouter(config-router)#exitRouter(config)#ip access-list standard aa //关于配置标准IP 访问控制列表,采用命名的标准ACL(命名为aa)Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255 //允许来自198.162.10.0 网段的流量通过Router(config-std-nacl)#deny 192.168.20.0 0.0.0.255 //拒绝来自198.162.20.0 网段的流量通过Router(config-std-nacl)#exitRouter(config)#int f0/0Router(config-if)#ip access-group aa out //在接口下访问控制列表出栈流量调用interface fa 0/0Router(config-if)#end测试:。
第五讲访问控制列表的功能与基本配置
访问控制列表(Access Control List,ACL) 是路由器接 口的指令列表,用来控制端口进出的数据包。
ACL的作用
• ACL可以限制网络流量、提高网络性能。例如,ACL 可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限 定或简化路由更新信息的长度,从而限制通过路由器某一 网段的通信流量。 ACL是提供网络安全访问的基本手段。如图所示, ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被 转发或被阻塞。例如,用户可以允许E-mail通信流量被路 由,拒绝所有的Telnet通信流量。
验证访问控制列表的命令
• 1、show access-list
• 2、show access-list number 显示特定列表 • 3、show ip access-list 只显示路由器上配 置的IP访问控制列表 • 4、show ip interface (显示哪些接口配置了 访问控制列表) • 5、show running-config (显示访问列表和 哪些接口设置了访问列表)
正确放置ACL的位置
• 根据减少不必要通信流量的通行准则,网管员应该尽可 能地把ACL放置在靠近被拒绝的通信流量的来源处,即 RouterA上。如果网管员使用标准ACL来进行网络流量限制, 因为标准ACL只能检查源IP地址,所以实际执行情况为:凡 是检查到源IP地址和网络1匹配的数据包将会被丢掉,即网 络1到网络2、网络3和网络4的访问都将被禁止。由此可见, 这个ACL控制方法不能达到网管员的目的。同理,将ACL放 在RouterB和RouterC上也存在同样的问题。只有将ACL放 在连接目标网络的RouterD上(E0接口),网络才能准确实 现网管员的目标。由此可以得出一个结论: 标准ACL要尽量 靠近目的端。
访问控制列表(ACL)配置
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。
第七部分 访问控制列表的配置
deny tcp any any eq 80
允许地址任意的,使用协议为TCP,端口号为80的数据报通过。
说明:
在每个扩展ACLs中,最后一条规则隐含为deny ip any any,它表示拒绝任何IP数据报通过。
permitaddress wildcard
这条规则指定了允许源IP和指定的地址样式相匹配的数据包通过。如:permit 192.168.2.00.0.0.255。
address wildcard用于定义一种地址样式,wildcard称为通配符掩码,它是一个32位二进制数,它和address搭配指定了一种地址样式。其中和wildcard中“0”对应位要求匹配,和“1”对应的位忽略。
注意:permit规则只是定义了某种数据包可以通过,对于不满足规则的数据包不会拒绝,它们能否通过取决于后续的规则。
如:permit 192.168.2.00.0.0.255表示允许源IP为192.168.2.*格式的数据包通过,不满足此规则的数据包将继续判定下一条规则。
2、deny规则:
deny规则定义的是拒绝通过,也有三种格式。
注意:deny规则只是定义了拒绝某种数据包通过,对于不满足规则的数据包需要由后续规则处理。
3、隐含规则:
在每个标准ACLs中,最后一条规则隐含为deny any,这样,如果一个数据包的源IP地址没有和前面的permit规则相匹配,则这个数据包将被拒绝通过。
配置标号的标准ACLs
标准访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的标准ACLs配置。
第七部分访问控制列表的配置
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
标准访问控制列表的配置
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-
mask [operator port ] [established] [precedence precedence] [tos tos] [log]
4. CR-V35FC 一条
5. 网线
两条
4、 实验拓扑
5、 实验要求
ROUTER-A
S1/1 (DCE) 192.168.1.1/24
F0/0
192.168.0.1/24
PC-A
IP 192.168.0.2/24
网关 192.168.0.1
Байду номын сангаас
ROUTER-B
S1/0 (DTE) 192.168.1.2/24
VRF ID: 0
S 192.168.0.0/24 C 192.168.1.0/24 C 192.168.2.0/24
[1,0] via 192.168.1.1 is directly connected, Serial1/0 is directly connected, FastEthernet0/0
制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目
标掩码的缩写。
destination- 目标地址网络掩码。使用关键字any作为
mask
0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩
写。
precedence (可选)包可以由优先级过滤,用0到7的数字
precedence 指定。
Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13.标准访问列表的实现一.实训目的1.理解标准访问控制列表的概念和工作原理。
2.掌握标准访问控制列表的配置方法。
3.掌握对路由器的管理位置加以限制的方法。
二.实训器材及环境1.安装有packet tracer5.0模拟软件的计算机。
2.搭建实验环境如下:三.实训理论基础1.访问列表概述访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作(允许或禁止)两个内容。
访问列表应用在路由器的接口上,通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。
数据包是通过还是拒绝,主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。
访问控制列表可以限制网络流量,提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段。
2.访问列表类型访问列表可分为标准IP访问列表和扩展IP访问列表。
标准访问列表:其只检查数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
扩展IP访问列表:它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等。
3.ACL 的相关特性每一个接口可以在进入(inbound )和离开(outbound )两个方向上分别应用一个ACL ,且每个方向上只能应用一个ACL 。
ACL 语句包括两个动作,一个是拒绝(deny )即拒绝数据包通过,过滤掉数据包,一个是允许(permit)即允许数据包通过,不过滤数据包。
在路由选择进行以前,应用在接口进入方向的ACL 起作用。
在路由选择决定以后,应用在接口离开方向的ACL 起作用。
每个ACL 的结尾有一个隐含的“拒绝的所有数据包(deny all)”的语句。
4.ACL 转发的过程5.IP 地址与通配符掩码的作用规32位的IP 地址与32位的通配符掩码逐位进行比较,通配符掩码为0的位要求IP 地址的对应位必须匹配,通配符掩码为1的位所对应的IP 地址位不必匹配。
通配符掩码掩码的两种特殊形式:一个是host 表示一种精确匹配,是通配符掩码掩码0.0.0.0的简写形式;一个是any 表示全部不进行匹配,是通配符掩码掩码255.255.255.255的简写形式。
6.访问列表配置步骤第一步是配置访问列表语句;第二步是把配置好的访问列表应用到某个端口上。
7.访问列表注意事项注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。
新的表项只能被添加到访问表的末尾,这意味着不可能改变已有访问表的功能。
如果必须要改变,只有先删除已存在的访问列表,然后创建一个新访问列表、然后将新访问列表用到相应的接口上。
标准的IP访问列表只匹配源地址,一般都使用扩展的IP访问列表以达到精确的要求。
标准的访问列表尽量靠近目的,由于标准访问表只使用源地址,因此将其靠近源会阻止报文流向其他端口。
扩展的访问列表尽量靠近过滤源的位置上,以免访问列表影响其他接口上的数据流。
在应用访问列表时,要特别注意过滤的方向。
8.标准IP访问列表的配置命令access-list(access-list-number)(deny|permit)(source-address)(source-wildcard)[log] access-list-number:标准访问列表编号只能是1~99之间的一个数字,同时只要访问列表编号在1~99之间,它即可以定义访问控制列表操作的协议,也可以定义访问控制列表的类型;deny|permit:deny表示匹配的数据包将被过滤;permit表示允许匹配的数据包通过;source-address:表示单台或一个网段内的主机的IP地址;source-wildcard:通配符掩码;Log:访问列表日志,如果该关键字用于访问列表中,则对匹配访问列表中条件的报文作日志。
9.标准IP访问列表的配置命令续(1)应用访问列表到接口ip access-group access-list-number in|outIn:通过接口进入路由器的报文;Out:通过接口离开路由器的报文。
(2)显示所有协议的访问列表配置细节show access-list [access-list-number](3)显示IP访问列表show ip access-list [access-list-number]四.实训内容1.设置简单路由,使Router4能够访问Router2;2.在Router2上配置标准ACL,使Router4不能够访问Router2。
五.实训步骤(标号的点需要改吗?字体与前面不同,不是宋体)1.设置路由器Router1的Ethernet 0和Serial 0两个接口的IP属性,并予以激活。
Ethernet 0:24.17.2.1 255.255.255.240Serial 0:24.17.2.17 255.255.255.240命令如下:Router>Router#Router#config tRouter(config)#hostname Router1Router1(config)#Router1(config)#interface ethernet0Router1(config-if)#ip address 24.17.2.1 255.255.255.240Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface serial0Router1(config-if)#ip address 24.17.2.17 255.255.255.240Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#exit2. 设置路由器Router2的Ethernet 0接口的IP属性,并予以激活。
Ethernet 0:24.17.2.2 255.255.255.240命令如下:Router>Router>enableRouter#Router#config tRouter(config)#hostname Router2Router2(config)#Router2(config)#interface ethernet0Router2(config-if)#ip address 24.17.2.2 255.255.255.240Router2(config-if)#no shutdownRouter2(config-if)#exitRouter1(config)#exit3. 在Router2上使用Ping命令查看和路由器Router1中Ethernet 0接口的连通性。
Router2#ping 24.17.2.14. 设置路由器Router4的Serial 0接口的IP属性,并予以激活。
Serial 0:24.17.2.18 255.255.255.240然后使用Ping命令查看和路由器Router1中Serial 0接口的连通性。
Router>Router>enableRouter#Router#config tRouter(config)#hostname Router4Router4(config)#Router4(config)#interface serial0Router4(config-if)#ip address 24.17.2.18 255.255.255.240Router4(config-if)#no shutdownRouter4(config-if)#exitRouter4(config)#exitRouter4#ping 24.17.2.175.在路由器1 上启用RIP动态路由协议,再使用network命令配置需要进行通告的网络号。
Router1#config tRouter1(config)#router ripRouter1(config-router)#network 24.0.0.0Router1(config-router)#exitRouter1(config)#exit6. 在路由器2上启用RIP动态路由协议,再使用network命令配置需要进行通告的网络号。
Router2#conf tRouter2(config)#router ripRouter2(config-router)#network 24.0.0.0Router2(config-router)#exitRouter2(config)#exit7. 最后在路由器4上启用RIP动态路由协议,再使用network命令配置需要进行通告的网络号。
Router4#conf tRouter4(config)#router ripRouter4(config-router)#network 24.0.0.0Router4(config-router)#exitRouter4(config)#exit8.上述通道建立之后,我们从Router4上ping路由器Router2的Ethernet 0接口。
Router4#ping 24.17.2.29.为了能使路由器4和路由器2之间能够相互Ping通,下面我们进入路由器2的全局配置模式。
Router2#conf tRouter2(config)#10.下面我们可以使用三种方式在路由器2上创建一条访问控制列表,如果拒绝,选择①、②、③语句中任意一条,则允许所有从24.17.2.18发来的数据包通过。
① Router2(config)#access-list 1 deny host 24.17.2.18----- OR ---② Router2(config)#access-list 1 deny 24.17.2.18 0.0.0.0----- OR ---③ Router2(config)#access-list 1 deny 24.17.2.18----- THEN ---Router2(config)#access-list 1 permit any11.使用下列命令将上述访问规则应用到路由器2的Ethernet0的接口上,方向是过滤从此接口接受到的报文。
Router2(config)#interface ethernet0Router2(config-if)#ip access-group 1 inRouter2(config-if)#exit六.实训报告要求1.写出标准ACL的特点。
2.写出标准ACL的访问表号范围。
七.课后思考1.如何实现对数据包目的地址、协议类型、端口号的访问列表设置?2.实现标准ACL时需要注意那些细节?。